体地,当所收集的日志样 本经过数据分析后,将日志样本数据输入到范化调度模块;范化调度模块根据日志样本数 据去调度规则管理模块,从而进行规则查询与匹配,如果匹配成功,就将范化调度所得的日 志样本数据结果与已定义的数据结构相关联,同时调度映射模块;查询合适的映射策略,利 用查询到的合适的映射策略进行日志样本数据与已定义的数据结构之间的映射,如果日志 样本数据与数据结构映射成功,则将该日志样本数据输出以备类型转换;范化调度模块调 度类型转换模块,接收由规则管理模块输出的事件数据,对该事件数据执行范化操作,输出 范化结果。
[0017] 由于采用了上述技术方案,与现有技术相比,本发明能实现根据日志或者告警的 样本格式,自定义数据结构以及范化策略,并提供良好的用户可定义接口,便于开发者和用 户现场维护。
【附图说明】
[0018] 附图1为根据本发明的日志管理系统的范化引擎结构示意图; 附图2为根据本发明的日志管理方法整体步骤图; 附图3为根据本发明的范化管理模块工作图; 附图4是根据本发明的范化调度流程图。
【具体实施方式】
[0019] 实施例1、本实施例为日志泛化解析过程作详细描述。
[0020] 利用XML语言的元素来表示类别,利用XML的属性来表示特性。同时引入了一些 扩展的特征,主要包括类型、常量、函数。具体规则详细说明如下 1.命名规范 首字母大写的英文字母、数字、下划线组合方式,如Name,SubNet都是合法的名字。
[0021] 2.类型 一种类型用于表示同一种格式和含义的数据,并且,这些类型和c、C++语言中的类型 有对应关系。
[0022] 3.常量 用一些特定的数字来表示特定的含义,例如数字1024表示点分十进制的IP地址串。
[0023] 4.函数 为了实现将提取后的数据执行二次运算或者其他逻辑处理,引入了函数的概念,以扩 展范化引擎的功能。
[0024] 函数的表示方式: {Func (参数1,参数2,…)} 其中Func为函数名,小括号中的为参数列表,以,分割不同的参数。
[0025] 特别要求:范化函数必须有返回值,如一个数值,或者一个串。不能返回空或者 NULL。
[0026] 5.数据结构定义规范 结构体基本信息描述:〈Struct Name=〃ids〃 Text="事件〃 Type=〃8197〃 Size="1304V> ;结构体基本信息详细说明见表1所示。
[0027] 表1结构体基本信息
【主权项】
1. 一种基于XML标签语言的日志管理方法,其特征在于:该方法以XML语言的语法规 则为基础,从所有的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全 事件,定义范化引擎和范化策略,根据范化引擎加载范化策略,并根据待范化的数据,选择 合适的范化规则进行日志样本数据的范化。
2. 根据权利要求1所述的基于XML标签语言的日志管理方法,其特征在于:具体定义 范化引擎和范化策略的方法是利用XML语言的元素来表示类别,利用XML的属性来表示特 性,并引入扩展的特征,包括类型、常量、函数。
3. 根据权利要求1所述的基于XML标签语言的日志管理方法,其特征在于:该方法的 具体步骤如下: 步骤一、分析日志;收集日志或者告警样本,并对所收集到的日志或者告警样本进行分 析,分析的目的在于明确需要定义的数据结构,以及范化规则和映射规则的基本框架; 步骤二、定义范化数据结构;合理范化给定日志样本数据的数据结构; 步骤三、定义规则;编制出合理的范化策略以及映射策略,并定义出相应的范化规则和 映射规则; 步骤四、加载策略;通过范化引擎将加载范化策略; 步骤五、查找匹配;根据待范化的数据,选择合适的规则进行范化,具体做法是,查找匹 配的规则,每成功匹配一次,就执行一个对应的范化动作; 步骤六、关联数据结构;将范化操作得到日志样本数据的字段与数据结构的相关字段 相关联; 步骤七、映射处理;根据所述关联结构,应用映射规则决定是否做日记数据字段与数据 结构字段的映射处理; 步骤八、类型转换;负责执行格式与类型转换操作; 步骤九、输出结果;输出范化后的结果。
4. 根据权利要求3所述的基于XML标签语言的日志管理方法,其特征在于:范化规则 组织成一个规则树,并提供正则表达式匹配、规则查找接口,并将查找的相关关键字段以链 表形式输出。
5. 根据权利要求3所述的基于XML标签语言的日志管理方法,其特征在于:映射策略 组织成内存中的可实现高速查询的B+树,并提供映射查找接口。
6. 根据权利要求3所述的基于XML标签语言的日志管理方法,其特征在于:查找匹配 的原理是利用"频繁使用优先算法"查找与事件数据相匹配的范化规则,并选择映射规则进 行规则映射。
7. 根据权利要求3所述的基于XML标签语言的日志管理方法,其特征在于:类行转换 指将事件数据由字符串形式转换成IP、MAC、时间、整数数据类型,同时能将数据写到指定的 内存位置。
8. -种基于XML标签语言的日志管理系统,其特征在于:该管理系统包括范化调度模 块、数据结构管理模块、规则管理模块、映射管理模块和类型转换模块;范化调度模块与数 据结构管理模块、规则管理模块、映射管理模块和类型转换模块之间进行控制流的连接,范 化调度模块发出控制指令,负责调度数据结构管理模块、规则管理模块、映射管理模块和类 型转换模块;规则管理模块以数据流的方式与范化调度模块、数据结构管理模块、映射管理 模块和类型转换模块相连接,传递数据信息。
9.根据权利要求8所述的基于XML标签语言的日志管理系统,其特征在于:所述范化 调度模块负责调度和管理数据结构管理模块、规则管理模块、映射管理模块、类型转换模块 4个功能模块,使用优先算法查找与事件数据相匹配的范化规则,并选择合适的映射规则进 行规则映射,然后调用类型转换模块,对事件数据进行范化;类型转换模块负责将事件数据 由字符串形式转换成IP、MAC、时间、整数数据类型,同时能将数据写到指定的内存位置。
【专利摘要】本发明公开了一种基于XML标签语言的日志管理方法,该方法以XML语言的语法规则为基础,从所有的入侵检测系统、防火墙、操作系统、应用软件和防病毒系统中获得安全事件,定义范化引擎和范化策略,根据范化引擎加载范化策略,并根据待范化的数据,选择合适的范化规则进行日志样本数据的范化,本发明可以根据不同用户的日志的样本格式,自定义各类数据结构及其范化策略,设计出满足不同用户需求的范化安全信息管理系统。该系统可以提供良好的用户可定义接口,便于开发者和用户现场维护和管理。
【IPC分类】G06F17-30
【公开号】CN104778189
【申请号】CN201410064744
【发明人】王皓然, 文才豪
【申请人】贵州电网公司信息通信分公司
【公开日】2015年7月15日
【申请日】2014年2月24日